Kontrole wewnętrzne (albo kontrole „u podległych”) to temat, który wraca jak bumerang. Ktoś widzi w BIP hasło „kontrola”, pyta o protokół, a w jednostce zaczyna się stres: czy to w ogóle jest informacja publiczna, czy trzeba to publikować, i co zrobić, jeśli w protokole są nazwiska, zarzuty, dane osobowe albo wątki wrażliwe.
Najprościej: protokół z kontroli co do zasady jest informacją publiczną, bo opisuje działanie jednostki, sposób wykonywania zadań i gospodarowanie środkami. Ale to nie znaczy, że masz wrzucać cały dokument „jak leci” do BIP. W praktyce najbezpieczniej działa model: publikujesz w BIP krótką informację o wyniku / zaleceniach, a pełny protokół udostępniasz na wniosek (z anonimizacją tam, gdzie trzeba). Jeśli chcesz odświeżyć podstawy, zobacz też: Wniosek o informację publiczną oraz Czy BIP podlega RODO?.
TL;DR: czy protokół kontroli wewnętrznej jest jawny i czy ma być w BIP?
- Tak, co do zasady protokół kontroli jest informacją publiczną (opisuje fakty, ustalenia, zalecenia, działanie jednostki).
- Nie ma obowiązku publikowania każdego protokołu w BIP „w całości”. BIP to jedno z narzędzi – drugie to udostępnienie na wniosek.
- W BIP warto dać minimum: informację, że kontrola była, zakres, daty, najważniejsze ustalenia i zalecenia (bez danych wrażliwych).
- Pełny protokół najczęściej udostępnia się na wniosek, po anonimizacji (dane prywatne, skargi, świadkowie, adresy, numery, itp.).
- Nie zasłaniaj się hasłem „dokument wewnętrzny”, jeśli to jest finalny protokół/raport – to częsty błąd.
Czy protokół kontroli wewnętrznej to informacja publiczna?
Jeśli mówimy o finalnym protokole (czyli dokumencie, który zamyka kontrolę, zawiera ustalenia, ocenę i często zalecenia), to najbezpieczniejsze podejście jest takie: tak – to informacja publiczna. Dlaczego? Bo dotyczy działalności jednostki publicznej: jej procedur, wydatków, organizacji, realizacji zadań.
Uwaga na pułapkę: czasem w jednostkach słyszy się „to dokument wewnętrzny, nie podlega”. W praktyce ten argument przegrywa zwłaszcza wtedy, gdy dokument opisuje konkretne ustalenia i efekty kontroli, a nie jest tylko roboczą notatką lub luźnym „pomysłem”.
Co zwykle jest mylone z protokołem? robocze notatki, wersje robocze, korespondencja „w trakcie”, szkice. One częściej mogą podpadać pod „materiały robocze”. Ale protokół podpisany / zamykający kontrolę to inna liga.
Czy trzeba publikować protokół kontroli w BIP?
Najczęściej: nie musisz publikować całego protokołu w BIP. Ustawa daje kilka trybów udostępniania informacji: część rzeczy idzie do BIP „z automatu”, a część udostępnia się na wniosek. To normalne, że protokoły kontroli częściej „żyją” w trybie wnioskowym.
Ale: z perspektywy porządku i transparentności, warto mieć w BIP przynajmniej zakładkę typu „Kontrole i audyty” z krótkimi kartami kontroli (zakres, daty, najważniejsze wnioski, zalecenia). To ogranicza liczbę wniosków i usuwa podejrzenie, że „coś zamiatamy”.
| Co udostępniasz? | Najbezpieczniejszy tryb | Dlaczego tak? |
|---|---|---|
| Informacja, że kontrola była + zakres + daty | BIP | Minimum transparentności, bez ryzyk danych osobowych. |
| Najważniejsze ustalenia i zalecenia (bez danych prywatnych) | BIP | Użytkownik widzi „efekt”, a Ty nie publikujesz wrażliwych szczegółów. |
| Pełny protokół kontroli | Wniosek o informację publiczną | Łatwiej zrobić anonimizację i kontrolę przed udostępnieniem. |
| Załączniki (np. wyjaśnienia pracowników, skargi, dane świadków) | Wniosek (z ostrożnością) | Najczęściej zawierają dane prywatne lub wątki wrażliwe. |
Co można wyciąć lub zanonimizować w protokole?
To jest klucz: jawność działania jednostki nie oznacza jawności prywatności ludzi. W protokołach kontroli najczęściej do anonimizacji wpada:
- dane osób składających skargi/zgłoszenia (imiona, nazwiska, adresy, telefony, e-maile),
- dane świadków i osób „pobocznych”,
- adresy zamieszkania, PESEL, numery dokumentów, dane rodzinne,
- dane wrażliwe „przy okazji” (zdrowie, sytuacja rodzinna, sprawy socjalne),
- szczegóły bezpieczeństwa (np. podatności IT, hasła, konfiguracje, procedury ochrony),
- tajemnice prawnie chronione (np. tajemnica przedsiębiorstwa w umowach/rozliczeniach – jeśli realnie występuje).
Jeśli w protokole pojawiają się nazwiska pracowników, to nie zawsze jest „automatycznie do usunięcia”. Różnica jest prosta: czy to dane niezbędne do zrozumienia działania jednostki, czy tylko „wtręt”, który nic nie wnosi do przejrzystości. Zasada minimalizacji robi robotę. Kontekst RODO masz też tutaj: Czy dane osobowe mogą być publikowane w BIP zgodnie z RODO?.
Najlepsza praktyka: „karta kontroli” w BIP + protokół na wniosek
Jeśli chcesz mieć porządek i spokój, ustaw prosty standard publikacji:
- W BIP dodajesz stronę/sekcję „Kontrole i audyty”.
- Dla każdej kontroli publikujesz kartę kontroli: kto kontrolował, kogo, zakres, daty, wynik (ogólnie), najważniejsze zalecenia, termin realizacji.
- Jeżeli publikujesz dokument – to wersję po anonimizacji i bez „załączników z życia”.
- Pełny protokół i materiały źródłowe: na wniosek.
Ten model ma jedną ogromną zaletę: użytkownik widzi, że jednostka działa i reaguje, a Ty kontrolujesz ryzyko ujawnienia danych osobowych. Do ogarnięcia procesu (kto publikuje, kto sprawdza, kto anonimizuje) przyda Ci się też: Kto odpowiada za BIP i jakie ma obowiązki?.
Co zrobić, gdy ktoś żąda protokołu „na już” (wniosek o informację publiczną)?
Jeżeli dostajesz wniosek o protokół kontroli, to najważniejsze są trzy kroki:
- Zweryfikuj, czy masz finalny dokument (podpisany/zamknięty). Jeśli kontrola trwa i masz tylko szkice – opisz to jasno.
- Zrób anonimizację danych prywatnych i wątków wrażliwych (tak, żeby nadal było wiadomo „o co chodzi”).
- Udostępnij w formie kopii (PDF) albo wskaż miejsce publikacji, jeśli wrzuciłeś wersję do BIP.
Jeżeli temat wniosków chcesz mieć uporządkowany proceduralnie, masz gotową bazę tutaj: Wniosek o informację publiczną. A jeśli publikujesz PDF-y, zobacz też: Czy można publikować skany PDF w BIP?.
FAQ: protokół kontroli wewnętrznej a BIP
Czy mogę odmówić, bo „to dokument wewnętrzny”?
Jeżeli to finalny protokół/raport z ustaleniami i efektami kontroli, to taka odmowa bywa ryzykowna. „Dokument wewnętrzny” częściej dotyczy materiałów roboczych, szkiców i notatek. Bezpieczniej jest udostępnić protokół po anonimizacji niż iść w odmowę „z automatu”.
Czy w BIP mam wrzucić cały protokół, czy wystarczy podsumowanie?
Najczęściej wystarczy podsumowanie (karta kontroli + zalecenia). Cały protokół możesz udostępniać na wniosek. Jeśli publikujesz całość, rób to jako wersję po anonimizacji, bez wrażliwych załączników.
Czy nazwiska pracowników z protokołu muszą zniknąć?
Nie zawsze. Patrz na sens: czy nazwisko jest niezbędne do zrozumienia sprawy i dotyczy wykonywania zadań publicznych, czy jest tylko dodatkiem. W praktyce najczęściej usuwa się dane osób „pobocznych”, świadków, skarżących i dane prywatne, a zostawia informacje potrzebne do transparentności (albo podaje stanowiska zamiast nazwisk).
Co z protokołem, w którym są wątki bezpieczeństwa IT?
Tu ostrożność jest większa. Szczegóły podatności, konfiguracje, elementy, które realnie zwiększają ryzyko ataku lub obejścia zabezpieczeń – zwykle nie powinny iść „publicznie” wprost. W takich przypadkach lepiej udostępnić protokół w wersji z wyłączeniami/anonimizacją tych fragmentów.
Czy mogę poprawić protokół po publikacji w BIP?
Tak, ale nie rób „podmiany bez śladu”. Najlepiej: usuń/ukryj błędną wersję, dodaj poprawioną oraz zostaw krótką adnotację o korekcie (data, powód: np. anonimizacja danych). Jeśli masz proces wersjonowania, temat domkniesz tu: Rejestr wersji dokumentów w BIP na WordPress.
Podsumowanie
Protokół kontroli wewnętrznej najczęściej jest informacją publiczną, ale rozsądna publikacja to nie jest wrzucenie „pełnego PDF-a” bez czytania. Najlepiej działa praktyka: BIP = karta kontroli + wnioski/zlecenia, a pełny protokół = na wniosek (z anonimizacją). To daje transparentność i ogranicza ryzyko wpadek z danymi osobowymi.
Źródła
- Ustawa o dostępie do informacji publicznej (ISAP)
- Ustawa o dostępie do informacji publicznej – tekst jednolity (ISAP, Dz.U. 2022 poz. 902)
- Rozporządzenie w sprawie BIP (ISAP, Dz.U. 2007 nr 10 poz. 68)
- Wyrok NSA 11.03.2025, III OSK 50/24 (protokół pokontrolny jako informacja publiczna)
- Wyrok NSA 15.11.2024, III OSK 719/24 (plan kontroli jako informacja publiczna)
